服务器系统安全健康检查需分层定期执行,重点包括:账户权限审计(查异常用户、sudo分配、登录记录)、进程与网络排查(top/netstat/ss查异常进程及非标端口)、文件与启动项扫描(/etc/crontab、/etc/init.d等及Windows启动项)、日志与补丁核查(auth.log、安全日志及CVE修复状态)。
服务器系统安全健康检查不是一次性的操作,而是需要分层、定期、有重点地执行的日常运维动作。核心在于把“性能是否扛得住”和“有没有被入侵痕迹”这两件事分开看,又联动查——性能异常可能是攻击征兆,安全漏洞也可能拖慢系统。
这是最基础也最容易出问题的一环。先确认有没有多出来的用户,特别是带$结尾的隐藏账户或UID小于1000的非系统账户。Linux下运行cat /etc/passwd,Windows用lusrmgr.msc打开用户管理界面。再查sudo权限分配是否合理,避免普通用户拥有root级命令执行能力。登录记录必须核对:Linux用lastlog -n 10看最近10次登录,Windows打开事件查看器筛选ID 4624(成功登录)和4625(失败登录),重点关注非工作时段、非常用地IP的登录行为。
异常进程往往藏在资源占用背后。Linux用top -b -n1 | head -20快速抓取当前CPU/内存前20名进程;Windows打开任务管理器,按CPU排序,留意路径不在C:WindowsSystem32或签名缺失的exe。网络方面,Linux执行netstat -tulnp,Windows用netstat -ano,重点看监听端口是否对应已知服务——比如1337、2025这类非标端口,大概率是后门。再结合ss -tuln或iftop观察实时流量,识别持续外连的可疑IP。
恶意程序常借启动机制长期驻留。Linux检查/etc/crontab、/etc/init.d/、/etc/rc.local和用户级crontab -l,确认定时任务是否干净;Windows用msconfig和任务计划程序逐个核对开机启动项。文件层面,Linux重点扫/tmp、/dev/shm、/usr/local/bin这些易被写入的目录,找近期修改的.sh或二进制文件;Windows检查C:WindowsTemp和自启动文件夹,用D盾或火绒剑做特征扫描。所有可疑文件都应先隔离再分析,别直接删除。
日志是回溯攻击链的关键证据。Linux盯紧/var/log/auth.log(SSH爆破)、/var/log/messages(内核报错)、/var/log/nginx/access.log(Web异常请求);Windows导出安全日志后,用Log Parser按关键字“Failed login”或“Service started”筛选。补丁不能只看“有没有更新”,要看“关键漏洞是否修复”——比如CVE-2025-1234这种高危内核漏洞,Linux执行uname -r确认内核版本,再比对漏洞公告中的修复版本号;Windows通过wmic qfe list查KB补丁编号,对照微软安全通告验证覆盖情况。